상세 컨텐츠

본문 제목

Qbot 악성코드, 새로운 윈도우 인스톨러 감염 벡터로 전환해

국내외 보안동향

by 알약4 2022. 4. 12. 09:00

본문

Qbot malware switches to new Windows Installer infection vector

 

Qbot 봇넷이 악성 MSI Windows Installer 패키지가 포함된 암호로 잠긴 ZIP 압축 파일이 첨부된 피싱 이메일을 통해 악성코드 페이로드를 배포하는 것으로 나타났습니다.

 

Qbot의 운영자가 이러한 전략을 사용하는 것은 이번이 처음입니다. 이들은 피싱 이메일을 통해 타깃 장치에 악성 매크로를 포함한 Microsoft Office 문서를 드롭해 악성코드를 전달하던 이전 방식에서 전략을 변경했습니다.

 

보안 연구원들은 이에 대해 지난 1월 마이크로소프트가 기본적으로 Excel 4.0(XLM) 매크로를 비활성화 후 2 VBA Office 매크로를 통한 악성코드 배포를 차단할 계획을 발표한 이후 대응한 것으로 추측했습니다.

 

Microsoft 2022 4월 초 Windows Office 사용자에게 VBA 매크로 자동 차단 기능을 푸시하기 시작했습니다.

 

마이크로소프트는 지난 12월 아래와 같이 밝혔습니다.

 

"공격자들은 Qakbot을 확산시키기 위해 다양한 이메일 관련 전략을 사용하지만, 이러한 캠페인은 공통적으로 Office 문서, 특히 Excel 4.0 매크로를 통한 악성 매크로를 사용합니다."

 

"이들은 탐지를 피하기 위해 Excel 4.0 매크로를 사용하지만, 이 기능은 이제 기본적으로 비활성화되기 때문에 사용자가 수동으로 활성화해야 하는 번거로움이 있습니다.”

 

일반적으로 피싱 공격에서 Office 문서에 포함된 악성 VBA 매크로를 통해 Qbot, Emotet, TrickBot, Dridex를 포함한 다양한 종류의 악성코드 변종을 배포하기 때문에, 이러한 보안 개선 사항은 고객을 보호하는데 큰 역할을 할 것입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/qbot-malware-switches-to-new-windows-installer-infection-vector/

관련글 더보기

댓글 영역